침입탐지 시스템(IDS)
IDS의 정보수집과 분석시기
- 일괄처리 방식
- 일정한 시간단위로 배치 방식에 의해 정보를 수집 및 분석
- 장점
- 보안위협 수준이 낮고 단일공격에 의한 시스템의 손상 가능성이 높을 경우 적합
- 실시간 방식보다 시스템에 대한 프로세스 부하가 적음
- 시스템과 인적 자원이 제한된 조직에 적합
- 단점
- 사건발생에 대한 즉각적인 대응이 어려움
- 수집된 정보집합은 분석 시스템상의 디스크 저장공간을 많이 소비
- 실시간 방식
- 연속적인 정보수집과 분석, 보고기능을 제공
- 공격을 방해하기 위해 탐지 프로세스가 빠른 응답을 발생시킴
- 이메일, SMS 등을 통한 오프사이트 경고 지원
- 장점
- 관리자가 공격을 저지할 수 있도록 충분히 빠른 공격탐지 가능
- 관리자는 시스템 복구를 위한 사고처리를 빠르게 수행할 수 있음
- 단점
- 많은 메모리와 프로세스 리소스 소비
- 설정값이 잘못되면 허위경고가 많이 발생할 수 있음
IDS의 분석 방법
- 시그니처 분석
- 알려진 공격이나 시스템 오용과 관련된 것을 규정한 패턴과의 일치 여부 확인
- 벤더가 공급하는 DB를 통해 알려진 공격에 대한 시그니처 분석
- 고객에 의해 명시된 시그니처가 추가될 수 있음
- 벤더는 주기적으로 시그니처 DB 업데이트 제공
- 장점
- 단점
- 통계적 분석
- 정상적인 행위 패턴으로부터 그 편차를 찾아내는 것
- 해당 시스템의 정상적인 사용에 대한 다양한 속성을 판정
- 관찰된 값이 정상적인 범위에 속하지 않을 경우 침입 가능성 신호 발생
- 장점
- 알려지지 않은 공격 검출 가능
- 범위를 벗어나는 좀 더 복잡한 공격을 탐지할 수 있도록 도움
- 단점
- 잘못된 경고 신호를 보낼 가능성 높음
- 사용자 행위의 변형을 처리하지 못해 변동이 많은 조직에서는 문제
- 무결성 분석
- 파일이나 객체의 어떤 측면이 변경되었는지에 초점
- 파일과 디렉터리 속성, 내용, 데이터 스트림 등
- 해시 알고리즘 같은 깅력한 암호 메커니즘 사용
- 장점
- 변조된 파일 혹은 네트워크 패킷 탈취기 설치 등의 보안공격 흔적
- 단점
- 일괄처리 방식을 사용하므로 실시간 대응에 도움이 안됨
IDS의 분류 - 침입 모델 기반
- 비정상 탐지 시스템
- 오용 탐지 시스템
IDS의 분류 - 데이터 소스 기반
- 호스트 기반 침입탐지 시스템(HIDS)
- 호스트상에서 발생하는 이벤트를 통해 침입탐지
- 사용자 명령어와 기본 로그 파일만 사용하는 것부터 시스템 콜 레벨의 감사자료를 사용하는 것까지 다양
- 장점
- 정확한 탐지 가능하며, 다양한 대응책 수행 가능
- 암호화 및 스위칭 환경에 적합
- 단점
- 다양한 운영체제를 지원해야 함
- 시스템에 추가적인 부하
- 네트워크 기반 IDS
- 네트워크 패킷을 분석하여 침입탐지
- 시그니처 기반의 오용탐지 및 통계적 분석 기반의 비정상탐지 활용
- 장점
- 단점
- 암호화된 패킷 분석 불가
- 고속 네트워크 환경에서는 패킷 손실이 많아 탐지율 떨어짐
- 하이브리드 형태의 침입탐지 시스템
- HIDS와 NIDS를 혼합해 하나의 시스템으로 구현
- 호스트의 감사자료와 네트워크의 패킷을 함께 사용
- 콘솔 수준에서 통합한 제품부터 두 모델을 하나의 엔진으로 구현한 제품까지 있음
침입 방지 시스템(IPS)
- Intrusion Prevention System
- 공격 탐지 시 자동으로 대응작업을 수행하여 행위를 중지시키는 시스템
- 수동적인 침입탐지 시스템과는 대비되어 능동적으로 동작
IPS의 분류 - 데이터 소스 기반
- 호스트 기반 침입방지 시스템 (HIPS)
- 소프트웨어 제품이 일반적임
- 방화벽 규칙집합과 같은 정책이나 정상,비정상 접근에 대한 학습을 통해 응용 프로그램을 보호함
- 커널과 함께 동작하는 방식과 커널에 독립적으로 동작하는 방식으로 구분
- 네트워크 기반 침입방지 시스템 (NIPS)
- 침입방지 능력과 바른 대응속도를 위해 네트워크 라인상에 위치
- 세션 기반 탐지를 지원할 수 있는 시스템
- 다양한 종류의 방지방법을 통해 악의적인 세션 차단
- 통합장비로 기능이 강화되고 있으며 수십 Gbps 이상의 초고속 환경에서 적용 가능하도록 성능 개선이 이루어지고 있음
